11.5 减少噪声

拥有SBOM是一个很好的开始，但如果没有关于漏洞实际可利用性的上下文信息，它很大程度上会成为额外的噪声，增加消费者及其各种利益相关者的负担。因此，获取关于软件组件的详细信息（例如可利用性）是关键。

如在第4章中所讨论的，漏洞可利用性交换（VEX）正在迅速成为SBOM的不可或缺的配套文档，受到实践者社区的广泛认可。原因在于，没有可利用性的上下文，软件消费者将没有指导或见解来帮助他们在漏洞管理过程中推动漏洞优先级排序活动。

当软件消费者掌握了关于漏洞可利用性的信息后，他们可以更好地了解应用程序的哪些组件需要额外关注，并呈现实际风险。这种授权和背景信息创造了一种情况，即使VEX可能伴随最初的SBOM，但也可能需要额外的VEX文档，并且即使没有改变基础软件组件，通过SBOM进行通信和交流仍然可以发生。这是因为新的漏洞不断被发现和报告，而与之关联的软件（VEX）没有发生变化。可能会为现有软件组件发现新漏洞，这意味着需要为软件消费者提供新的VEX，告知他们该漏洞的可利用性。开源、行业驱动的努力，如OpenVEX规范，已经开始在行业中获得动力，旨在满足CISA和其他机构讨论的VEX要求和使用案例，并提供一种最小的SBOM格式无关方法，用于创建、合并和验证VEX文档，以传达与SBOM和软件相关的漏洞的可利用性（https://github.com/openvex/spec）。

一个物料清单（BOM）格式是CycloneDX，它拥有强大的支持，可以提供与易受攻击组件相关的上下文，帮助消费者更好地优先处理其漏洞管理工作。CycloneDX在SBOM之外还提供额外的功能，包括支持VEX以传达产品中使用的易受攻击漏洞组件的可利用性。它还可以支持漏洞披露报告（VDR），用于传达影响组件和服务的已知和未知漏洞，甚至可以用于在系统和漏洞情报来源之间共享漏洞数据的漏洞清单（BoV）。

最后，鉴于我们拥有复杂的现代软件、服务和组件生态系统，CycloneDX支持所谓的BOM-Link，它使我们能够引用来自其他系统的BOM中的组件、服务或漏洞。 消费者应坚决要求供应商提供附带的VEX文档等相关工件，以便深入了解其产品和应用程序中易受攻击组件的可利用性。如果未能这样做，消费者将需要投入大量精力和猜测来处理其消费的软件中的漏洞。

除了使用前述的VEX和其他方法外，软件消费者还可以利用我们讨论过的行业漏洞数据库（如OSV、OSS Index等），并结合漏洞预测评分系统（EPSS）和威胁情报来丰富漏洞数据，以提高漏洞洞察的准确性，并优先处理对组织构成最大风险的漏洞。